Mamy atak - co robić ?

z Archiwum razorCMS | 15 July 2012

Huston mamy problem ! Jesteśmy pod atakiem ! W takiej sytuacji wyłączenie systemu / restart komputera może uniemożliwić dojście do źródła problemu. Jeżeli już jesteśmy pewni, że jesteśmy zaatakowani musimy w jak najkrótszym czasie odpowiedzieć na 6 pytań:

  • KTO ?  - kto jest uczestnikiem zajścia w szczególności napastnikiem,a kto jest ofiarą ?
  • CO ? - co się stało w kontekście, co jest rezultatem zajścia ?
  • KIEDY ? - znalezienie przedziału czasowego kiedy zostało bezpieczeństwo naruszone, ile trwało oraz określenie czy już się skończyło ?
  • GDZIE ? - określenie w jakim miejscu wystąpił incydent zarówno w odniesieniu do fizycznej jak i wirtualnej lokalizacji.
  • DLACZEGO ? - zwykle w podstawowym momencie odpowiedź na to pytanie jest trudna , zawsze warto sformułować jakąś hipotezę
  • JAK ? - jakie zasoby, narzędzia, serwisy zostały użyte, żeby dokonać naruszenia bezpieczeństwa np. wykorzystanie jakiś podatności systemu operacyjnego, nieświadomość użytkownika, domyślne hasło a może źródłem może był phishing ?

Pytania te mają pomóc nam przekazać informacje, zebrać dane konieczne do stworzenia kompletnej i zrozumiałej historii zdarzenia.


Kategorie: Power Shell